הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית Dindoor Backdoor

Dindoor Backdoor

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

מחקר מודיעין איומים חשף ראיות למבצע סייבר המזוהה עם מדינת איראן, שהצליח להטמיע את עצמו ברשתות של מספר ארגונים ברחבי צפון אמריקה. בין הגופים שנפגעו נמנים בנקים, שדות תעופה, עמותות והסניף הישראלי של חברת תוכנה המשרתת את מגזרי הביטחון והחלל.

הקמפיין יוחס ל-MuddyWater, הידוע גם בשם Seedworm, קבוצת איום הקשורה למשרד המודיעין והביטחון האיראני (MOIS). חוקרים מעריכים כי המבצע החל בתחילת פברואר 2026. פעילות רשתית הקשורה לקמפיין צפו זמן קצר לאחר תקיפות צבאיות שביצעו ארצות הברית וישראל נגד איראן, דבר המצביע על גורם גיאופוליטי פוטנציאלי מאחורי פעילות הסייבר.

נראה כי תשומת לב מיוחדת הופנתה לחטיבה הישראלית של ספקית התוכנה הממוקדת. החברה מספקת פתרונות לתעשיות מרובות, כולל ביטחון ותעופה וחלל, מה שהופך אותה למטרה בעלת ערך אסטרטגי לאיסוף מודיעין ולשיבוש פוטנציאלי של פעילותה.

דינדור: דלת אחורית שזוהתה לאחרונה וממנפת את Deno

אנליסטים של אבטחה שבחנו את החדירות זיהו פריסה של דלת אחורית שלא תועדה בעבר בשם Dindoor. הנוזקה משתמשת בזמן ריצה של Deno JavaScript כחלק מסביבת הביצוע שלה, טכניקה יחסית נדירה שעשויה לסייע לנוזקה לחמוק מגילוי במערכות ניטור אבטחה מסורתיות.

נראה כי המתקפות שכללו את ספק התוכנה, מוסד בנקאי אמריקאי וארגון קנדי ללא מטרות רווח שימשו כנקודות כניסה להתקנת דלת אחורית זו.

כמו כן, זוהו ראיות לניסיון חילוץ נתונים. החוקרים צפו בשימוש בכלי Rclone להעברת מידע מסביבת חברת התוכנה שנפגעה לאחסון ענן המאוחסן ב-Wasabi. בזמן הניתוח, לא היה ברור האם ניסיון חילוץ הנתונים הצליח בסופו של דבר.

דלת אחורית מזויפת מופיעה ברשתות פרוצות נוספות

רכיב זדוני נפרד המכונה Fakeset, שנכתב בשפת Python, זוהה ברשתות של שדה תעופה בארה"ב ושל ארגון ללא מטרות רווח נוסף. דלת אחורית זו אוחזרה מתשתית הקשורה ל-Backblaze, ספקית אחסון וגיבוי ענן שבסיסה בארה"ב.

המטען הזדוני נחתם דיגיטלית באמצעות תעודה שקושרת בעבר לשתי משפחות תוכנות זדוניות אחרות, Stagecomp ו-Darkcomp, שתיהן קשורות היסטורית לפעולות MuddyWater.

חוקרי איומים זיהו דגימות של תוכנות זדוניות הנושאות את החתימות הבאות הקשורות למערכת האקולוגית של MuddyWater:

  • טרויאני:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

למרות ש-Stagecomp ו-Darkcomp עצמן לא התגלו ברשתות שנפרצו בחקירה זו, השימוש החוזר באותו אישור דיגיטלי מרמז מאוד על מעורבות של אותו גורם איום, מה שמחזק את הייחוס ל-Seedworm.

הרחבת יכולות הסייבר האיראניות וטקטיקות הנדסה חברתית

גורמי איום סייבר איראניים שיפרו משמעותית את יכולותיהם המבצעיות בשנים האחרונות. פיתוח וכלי הפיתוח של תוכנות זדוניות שלהם הפכו מתוחכמים יותר, מה שמאפשר התמדה חשאית ותנועה רוחבית יעילה יותר בתוך רשתות הקורבנות.

ראויה לא פחות לציון היא הרחבת אסטרטגיות התקיפה שלהם המתמקדות בבני אדם. מפעילים איראניים הדגימו שיטות הנדסה חברתית מתקדמות יותר ויותר, כולל קמפיינים ממוקדים של פישינג חנית ופעולות "מלכודות דבש" ארוכות טווח שנועדו לבנות אמון עם אנשים מעניינים. טקטיקות אלו משמשות לעתים קרובות כדי לקבל גישה לחשבון או לחלץ מידע רגיש.

מעקב באמצעות מצלמות פגיעות

חקירות מקבילות חשפו כי קבוצות איום אחרות הקשורות לאיראן חוקרות באופן פעיל מכשירי מעקב המחוברים לאינטרנט. גורם אחד כזה, אגריוס, הידוע גם בכינויים Agonizing Serpens, Marshtreader ו-Pink Sandstorm, נצפה סורק אחר תשתית מעקב וידאו פגיעה.

חוקרים תיעדו ניסיונות ניצול מצלמות Hikvision ומערכות אינטרקום וידאו באמצעות פגיעויות ידועות. פעילויות אלו התגברו על רקע הסכסוך המתמשך במזרח התיכון, במיוחד בישראל ובמספר מדינות במפרץ.

הקמפיין התמקד בניצול נקודות תורפה המשפיעות על ציוד מעקב של Dahua ו-Hikvision, כולל:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

אנליסטים ביטחוניים מאמינים שפשרות כאלה עשויות לתמוך באיסוף מודיעין צבאי, כולל מעקב מבצעי והערכת נזקי קרב (BDA) הקשורים לפעולות טילים. במקרים מסוימים, חדירות של מצלמות עשויות להתרחש לפני שיגורי טילים כדי לסייע במיקוד או ניטור תוצאות.

פעילות סייבר כמבשר לפעולות קינטיות

הכוונת תשתית המעקב המתואמת תואמת הערכות ארוכות שנים לפיהן דוקטרינת הסייבר האיראנית משלבת סיור דיגיטלי בתכנון צבאי רחב יותר. מצלמות פרוצות יכולות לספק מודיעין חזותי בזמן אמת ומודעות מצבית.

כתוצאה מכך, ניטור פעילות סריקה וניסיונות ניצול תשתית מצלמות הקשורה לנכסי סייבר איראניים ידועים עשוי לשמש כאיתות אזהרה מוקדם לפעולות קינטיות פוטנציאליות נוספות.

סיכוני תגמול בסייבר גוברים

הסכסוך המתגבר בו מעורבות ארצות הברית, ישראל ואיראן הגביר את הסיכון לתגובת סייבר. בתגובה לנוף האיומים הגובר, המרכז הקנדי לאבטחת סייבר (CCCS) פרסם אזהרה כי איראן צפויה למנף את יכולות הסייבר שלה נגד תשתיות קריטיות ולבצע פעולות השפעה או מידע לקידום אינטרסים אסטרטגיים.

התפתחויות אלה מדגישות את התפקיד המתרחב של המרחב הקיברנטי כשדה קרב מקביל במהלך סכסוכים גיאופוליטיים, שבהם ריגול, שיבוש ואיסוף מודיעין מלווים יותר ויותר פעולות צבאיות מסורתיות.

מגמות

מסמך שותף איתך בתרמית דוא"ל של SharePoint

פישינג, ספאם
יש להתייחס תמיד בזהירות לאימיילים בלתי צפויים הקוראים לפעולה מיידית. פושעי סייבר מסווים לעתים קרובות הודעות זדוניות כהודעות לגיטימיות כדי להערים על נמענים ולגרום להם לחשוף מידע רגיש. שמירה על ערנות בעת סקירת אימיילים, במיוחד אלו המבקשות פרטי התחברות, חיונית למניעת פריצה לחשבון ונזק כלכלי. חשוב לציין, האימיילים "המסמך שותף איתך ב-SharePoint" הנדונים להלן אינם קשורים לחברות, ארגונים או ישויות...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
21,830
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...